目前由于无线网络的强大吸引力,使得无线网得到广泛应用。但安全问题的确是一个大问题。不要说很多无线网是完全没有加密的,就是很多加密的也一样是不安全 的。很多企业已经开始在企业内部办公和生产网采用无线技术,但随着802.11G、802.11N无线信号能力的增强,它所面临的威胁也一样不断整强。很 多企业部署无线网络采用加密方式,但采用的是最普通的WEP加密方式。单单这种方法,对企业安全来说是构成很大威胁的,因为你很容易就可以在互联网上搜索 到破解WEP的方法。那如何保护好现有的无线网络呢?
对于企业来讲,一般都已经部署了强大的有线网络硬件平台。对于无线这个新生来说,投入拘谨。那我们就要利用现有条件加强无线网安全。
我们采用几个层面(并不是严格的OSI7层)来对无线网进行安全管理。
(0)从管理角度来讲,我看了大多数破解WEP的例子,基本上都是暴力破解。所以我们设置密码安全时,设置128位WEP而不用 64位,会更好些。不要设置常规密码(000000000,88888888,66666666)等.另外如果允许,定期更换密码,做好密码的保密工作, 否则人人都知道密码就和没密码没什么区别了。这里要说的是目前采用的破解无线网络的技术还是强破,如何破解在此就不必多说了,一个64位的WEP口令只需 要2-4个小时的抓包就可以破解出来,128位的(104+24)只需要抓取80万个左右的包就可以破解出口令。所以自己先破解下,看需要多长时间。比如 128位口令需要半个个月抓包才能获取完全的口令,那最高级别的安全性要求就要14天更改一次口令,次安全级别可以半个月至1个月更改一次口令。
(1)从高层应用来说,如果你部署了802.1X(AAA认证服务)那把无线加上这一道关卡,即使被突破了WEP,一样可以高枕无忧。不过这个多适合应用于办公网络。对于生产网络终端和RF来讲,最好采用其他办法,因为除了问题不好解决。
(2)要建立网络监控平台,至少是网络管理软件。要有一个用户数据库,包含用户IP、mac、和用户名信息。网管软件有报警功能,无线用户绑定到网管软件 后,额外用户接入要报警。大部分网管软件都有这种功能。另外也可在无线网段放置蜜罐,如果无线网被入侵,那入侵者肯定会实施扫描,蜜罐是让入侵者现行的最 好方法。
(2)从网络层来讲,为每一个无线应用分配独立的VLAN,对每一个VLAN实施强VACL控制策略。点点之间隔离,网网之间隔离,对于关键网段只允许访 问关键服务(关键服务器关键端口)。这样WEP被突破,一样基本可以保障网络安全,这种设置适合于管控生产无线网RF和其他无线生产终端。
(2)从网络层来讲,为每一个无线应用分配独立的VLAN,对每一个VLAN实施强VACL控制策略。点点之间隔离,网网之间隔离,对于关键网段只允许访 问关键服务(关键服务器关键端口)。这样WEP被突破,一样基本可以保障网络安全,这种设置适合于管控生产无线网RF和其他无线生产终端。
(3)对于物理层来讲,我们并不是用域展性越好的AP就越好,要充分考虑信号覆盖范围的同时,也要考虑信号的多余覆盖。信号扩展到厂区外延的部分越少,来 自外部的威胁也就越少。有些单位处于高安全角度考虑,在厂房外围安装了屏蔽或干扰信号(干扰信号是一个背向厂区的半面发射源)。其实这些必要性不大。如果 我们购买一台无线交换管理机,就可以对无线进行很好的管控,好的无线交换管理机都有用户绑定和监控能力。所以要真正在乎无线安全,可以选择购买无线管理平 台。
